Partilhar via

Pesquisar eventos específicos em grandes conjuntos de dados no Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Utilize uma tarefa de pesquisa quando iniciar uma investigação para examinar até um ano de dados numa tabela para identificar eventos específicos. Você pode executar um trabalho de pesquisa em qualquer tabela, incluindo aquelas com os planos de log de Analytics, Básico e Auxiliar. O trabalho de pesquisa envia seus resultados para uma nova tabela do Google Analytics no mesmo espaço de trabalho que os dados de origem.

Este artigo explica como executar um trabalho de pesquisa no Microsoft Sentinel e como trabalhar com os resultados do trabalho de pesquisa.

Procurar trabalhos em determinados conjuntos de dados pode incorrer em custos adicionais. Para obter mais informações, consulte a página de preços do Microsoft Sentinel.

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Iniciar uma pesquisa de emprego

Vá para Pesquisar no Microsoft Sentinel no portal do Azure ou no portal do Microsoft Defender para inserir seus critérios de pesquisa. Dependendo do tamanho do conjunto de dados de destino, os tempos de pesquisa variam. Embora a maioria dos trabalhos de pesquisa demore alguns minutos para ser concluída, as pesquisas em conjuntos de dados massivos que são executadas até 24 horas também são suportadas.

  1. Para Microsoft Sentinel no portal Defender, selecione Microsoft Sentinel>Search. Para Microsoft Sentinel no portal do Azure, em Geral, selecione Pesquisar.

  2. Selecione o menu Tabela e escolha uma tabela para a sua pesquisa.

  3. Na caixa Pesquisar , insira um termo de pesquisa.

  4. Selecione Iniciar para abrir o editor avançado Kusto Query Language (KQL) e visualizar os resultados para um intervalo de tempo definido.

  5. Altere a consulta KQL conforme necessário e selecione Executar para obter uma visualização atualizada dos resultados da pesquisa.

    Screenshot do editor KQL com pesquisa revisada.

  6. Quando estiver satisfeito com a consulta e a visualização dos resultados da pesquisa, selecione as reticências ... e ative o modo de pesquisa de trabalho.

    Captura de ecrã do editor KQL com a pesquisa revisada e as reticências destacadas para o modo de pesquisa do trabalho.

  7. Especifique o intervalo de datas do trabalho de pesquisa usando o seletor Intervalo de tempo . Se sua consulta também especificar um intervalo de tempo, o Microsoft Sentinel executará o trabalho de pesquisa na união dos intervalos de tempo.

  8. Resolva quaisquer problemas de KQL indicados por uma linha vermelha ondulada no editor.

  9. Quando estiver pronto para iniciar a pesquisa, selecione Pesquisar vaga.

  10. Insira um novo nome de tabela para armazenar os resultados do trabalho de pesquisa.

  11. Selecione Executar um trabalho de pesquisa.

  12. Aguarde a notificação O trabalho de pesquisa é feito para visualizar os resultados.

Ver resultados da pesquisa de emprego

Veja o estado e os resultados do seu trabalho de pesquisa acedendo ao separador Pesquisas Guardadas .

  1. No Microsoft Sentinel, selecione Pesquisar>pesquisas salvas.

  2. No cartão de pesquisa, selecione Ver resultados da pesquisa.

    Captura de ecrã que mostra a ligação para ver os resultados da pesquisa na parte inferior do cartão de atividade de pesquisa.

    Por padrão, você vê todos os resultados que correspondem aos seus critérios de pesquisa originais.

  3. Para refinar a lista de resultados retornados da tabela de pesquisa, selecione Adicionar filtro.

  4. À medida que revê os resultados da pesquisa, selecione Adicionar marcador ou selecione o ícone de marcador para preservar uma linha. Adicionar um marcador permite marcar eventos, adicionar notas e anexar esses eventos a um incidente para referência posterior.

    Captura de tela que mostra os resultados de pesquisa de empregos com um marcador em processo de adição.

  5. Selecione o botão Colunas e selecione a caixa de verificação junto às colunas que pretende adicionar à vista de resultados.

  6. Adicione o filtro Marcador para mostrar apenas entradas preservadas.

  7. Selecione Ver todos os favoritos para aceder à página Caça onde pode adicionar um favorito a um incidente existente.

Próximos passos

Para saber mais, consulte os seguintes artigos.